技術領域

本發明涉及設備安全管理領域，具體涉及一種USB安全配置方法。

背景技術

當我們需要升級或更新一臺設備或應用的配置時，傳統的方法是設備管理員遠程登陸設備，或設備管理員出現在設備旁邊連接一根配置電纜，完成升級配置工作。此時待升級的設備往往面臨最大的安全威脅。配置過程中人為的錯誤，或黑客遠程登陸設備篡改配置文件都會造成安全問題。因此，在某些情況下，我們需要一種安全可靠的設備配置方法，在無需遠程接入及專業人士干預的情況下，安全可靠地完成設備配置或升級工作。

發明內容

本發明所要解決的技術問題是提供一種USB安全配置方法，此基于動態對稱密鑰安全配置協議的USB安全配置方法可以使設備管理員和設備操作者分離，防止設備配置過程中配置文件遭篡改或人為操作失誤造成的安全隱患。

為解決上述技術問題，本發明采用的技術方案是：

一種USB安全配置方法，包括以下步驟：

步驟1：目標設備中USB配置模塊在配套的配置管理端注冊，配置管理端獲取目標設備的軟硬件信息并加密保存，包括硬件ID、對稱密鑰或公鑰；

步驟2：在配置管理端，根據使用需求生成明碼配置文件，并且在配置管理端啟用動態對稱密鑰安全配置協議加密配置文件，加密元素包括目標設備的設備ID、公鑰、對稱密鑰；

步驟3：將采用動態對稱密鑰加密后的配置文件推送到U盤特定目錄；

步驟4：啟動目標設備的USB配置模塊，并且將目標設備連接到存有加密配置文件的U盤；

步驟5：目標設備的USB配置模塊讀取并激活U盤內的配置文件，U盤中的配置文件與目標設備的配置模塊交互，USB配置模塊啟用動態對稱密鑰協議，目標設備自動識別、下載、解密、驗證配置U盤中的配置文件。

進一步的，在步驟2中采用動態對稱密鑰安全配置協議進行加密時，加密算法根據設備注冊信息及系統時間，每隔一個時間段生成一個或多個密鑰字符串；運行相同加密算法的目標設備和配置管理端，在同一時間段內生成相同的對稱密鑰。

進一步的，所述步驟5具體為：在目標設備的USB安全配置模塊中：文件讀取子模塊從U盤特定目錄中讀取特定配置文件；文件解密子模塊數字證書解密配置文件；文件驗證子模塊調取信息驗證識別配置文件，包括動態密鑰模塊、設備ID；解密驗證通過的配置文件由文件寫入子模塊自動寫入目標設備的配置中，完成配置工作。

與現有技術相比，本發明的有益效果是：

1)本發明方法通過USB接口來配置設備，配置文件經安全配置協議加密傳送到U盤特定目錄中；目標設備的USB配置模塊讀取并激活U盤中的配置文件，自動識別、解密、驗證完成配置工作，提高設備配置過程的安全性，杜絕設備遠程配置可能帶來的風險。

2)本發明有利于個人與企業設備的標準化配置管理。

3)本發明使普通人無需掌握特殊配置技能即可完成設備的配置更新，有利于減小安全運維工作量。

附圖說明

圖1為本發明方法的系統架構示意圖。

具體實施方式

下面結合附圖和具體實施方式對本發明作進一步詳細的說明。

本發明方法中，目標設備與配套的配置管理端上都運行配套的動態對稱密鑰安全配置協議，配置管理端采用動態密鑰、數字證書生成加密的配置文件發送給設備使用者，目標設備使用者將配置文件寫進普通U盤的特定目錄，將普通U盤轉變為配置U盤。此U盤插入目標設備的專用USB配置端口，啟用設備USB配置模式，目標設備自動識別、解密驗證下載配置U盤中的配置文件，完成配置更新。具體如下：

一種USB安全配置方法，包括：

步驟1：目標設備中USB配置模塊在配套的配置管理端注冊，配置管理端獲取目標設備的軟硬件信息并加密保存，包括硬件ID、對稱密鑰或公鑰；

步驟2：在配置管理端，根據使用需求生成明碼配置文件，并且在配置管理端啟用動態對稱密鑰安全配置協議加密配置文件，加密元素包括目標設備的設備ID、公鑰、對稱密鑰；

步驟3：將采用動態對稱密鑰加密后的配置文件推送到U盤特定目錄；

步驟4：啟動目標設備的USB配置模塊，并且將目標設備連接到存有加密配置文件的U盤；

步驟5：目標設備的USB配置模塊讀取并激活U盤內的配置文件，U盤中的配置文件與目標設備的配置模塊交互，目標設備自動識別、下載、解密、驗證配置U盤中的配置文件。